1 目的
为保证公司质量管理体系的策划能实现预期的结果,识别、监视并评审与公司的宗旨、战略方向相关的内外部环境,识别、监视并评审与公司质量管理体系有关的相关方期望或要求,根据内外部因素与相关方期望或要求,结合本公司已有的优势和劣势,识别出风险和机会并针对识别的风险和机会,策划应对措施。
2 适用
适用于公司质量管理体系所有相关的部门与过程。
3 引用
PK - QM -2020 《质量手册》
4 职责
4.1管理者代表组织各部门进行内外部环境因素和相关方期望或要求的识别评价、并拟定应对措施,对结果进行审核整理。
4.2最高管理者批准风险和机会的应对措施。
4.3 各部门根据公司确定的内外部环境因素和相关方期望或要求的识别评价、并拟定应对措施。
5 程序
5.1组织环境管理
在建立与持续改进质量管理体系时,公司将充分识别理解并考虑那些与公司的宗旨、战略方向相关,并影响公司实现管理体系预期结果能力的内部和外部环境。在每年的管理评审前,由相关部门负责人进行识别并评估其适用性,具体部门及识别项目如下:
a)综合办:内部(公司价值观、企业文化、人员能力、体系运行、过程能力等),外部(地理位置、现存污染、法律、竞争、市场、文化、社会和经济环境等)。
b)质量部、研发生产部、财务部、人力资源部:内部(产品、人员能力、知识、业绩表现等),外部(法律、技术、竞争、社会和经济环境等)。
c)市场部和物资部:内部(产品、活动、服务、业绩表现等),外部(法律、技术、竞争、市场、文化、社会和经济环境等)。
d)管理者代表:内部(战略、知识、人员能力、业绩表现等),外部(社会和经济环境等)。
识别结果由综合办集中登记在《公司环境内(外)部因素分析表》。
管理者代表每年在管理评审前组织一次全面的内外部环境要素识别与评审,另外各部门在获得内外部环境要素信息变化时,应及时告知管理者代表,由管理者代表对《公司环境内(外)部因素分析表》进行修订。
5.2相关方期望或要求管理
公司定期对相关方期望或要求识别与评估,相关方包括但不限于顾客、所有者、组织中的成员、供应商、银行、工会、合伙人、竞争对手或社会团体或行业协会。在每年的管理评审前,由相关部门负责人进行识别并评估其适用性,具体部门及识别项目如下:
a)管理者代表:所有者、合伙人、竞争对手或社会团体。
b)物资部:供应商、竞争对手或社会团体。
c)市场部:顾客、竞争对手或社会团体。
d)综合办、财务部、人力资源部:员工代表、附近企业及居民、银行、工会、社会团体。
各部门将识别结果登记在《相关方及其要求分析表》上,由综合办进行汇总整理。
管理者代表每年在管理评审前组织一次全面的相关方及其要求的评审,另外各部门在获得相关方及其要求信息变化时,应及时告知管理者代表,由管理者代表对《相关方及其要求分析表》进行修订。
5.3 风险和机遇的评估
对已识别内外部环境因素,相关方的需求进行分析,确定需要应对的风险和机遇,对风险和机遇进行风险分析,其评价的要求应根据本程序所规定的评价准则进行评价确认,风险的严重度和发生频度的确认用以确定风险系数,之后根据风险系数确定对风险应对采取的措施。
5.4.1 风险的严重程度评价准则
风险严重度用于评价潜在风险可能造成的损害程度,根据对潜在风险的评估量化,若潜在风险发生后,其会导致的各方面的影响以及危害程度,以下包括但不限于风险产生后会导致的危害:1)法律法规、产品及客户要求;
2)风险发生时导致的人身伤害;
3)财产损失的多少;
4)是否会导致停工/停产;
5)对企业形象的损害程度。
注:在对风险进行严重程度判断时。推荐扩大分析风险所带来的危害层面,以便于更有效的对潜在的风险采取措施,已达到减少或部分消除风险乃至完全消除的目的。
为便于识别风险所带来的危害程度,对风险的严重程度进行区分,风险严重度分为以下五类:1)非常严重
2)严重
3)较严重
4)一般
5)轻微
下表为依据定义的风险影响和影响程度的多少进行量化,在对风险的严重程度进行评价时,下表作为评价风险严重度的准则:
严重度判断过程中,当多个因素的判定其严重程度不一致时,应遵循从严原则进行判定,即当多个因素中仅其中一个或部分因素其严重度级别更高时,依据严重级别高的因素作为风险严重度进行判定。根据上表内容确定风险的严重度后,将严重度等级数字填入《风险和机遇评估分析表》中。
5.4.2 风险的发生频率评价准则
风险的发生频率是指潜在风险出现的频率,为便于识别和定义,将风险频率度定义为5级,如下所示:
1)极少发生;
2)很少发生;
3) 偶尔发生;
管理者代表4)有时发生;
5)经常发生。
通过对上述的不确定因素进行评价风险发生的频度,风险的发生频率的评价以其可能发生的频率进行量化确认作为风险的发生频率的评价准则:
发生频度判定过程中,当一个或多个因素在判定过程中其发生频度不一致时,应遵循从严原则进
行判定,即当多个因素中仅其中一个或部分因素其发生较为频繁时,依据发生频率较高的因素作为风险发生度进行判定。根据上表内容确定风险的严重度后,将严重等级数字填入《风险和机遇评估分析表》中。
5.4.3 风险的可接受准则
风险可接受准则是通过计算得出的风险系数来判定风险是否可接受,通过对风险的严重度和风险的发生频率评价后,通过计算风险系数确定是否对风险采取措施。风险系数的计算如下公式:风险系数=风险严重度等级*风险频度等级
风险系数的大小决定是否对风险应采取的措施,如下表要求:
使用风险系数作为参考值。下表为风险风险系数的范围及当风险系数达到一定值时应对风险采取的措施:
风险的应对方式应根据实际情况进行筛选,当潜在的风险可有效的采取规避措施进行规避风险时,应制定风险规避方案,确认风险规避措施并予以执行,直至部分消除或完全消除风险。当尚无可行方案进行规避风险时,应采取有效的风险降低措施,降低潜在风险所带来的影响。下表为识别风险系数后,对风险等级的判定应急应采取的风险应对措施对照表:
在进行风险分析和风险应对过程中,应保持风险措施的方案和实施结果的跟进应记录,记录的保持依据《成文信息控制程序》执行,风险和机遇分析和风险、机遇应对方式应记录在《风险和机遇评估
分析表》中,便于后续的查阅和跟进。
5.4风险和机遇的应对
各实施部门应对所识别的风险进行评估,根据评估的结果对风险采取措施,从而达到降低或消除风险的目的,风险应对的方法包括:
1)风险接受;
2)风险降低;
3)风险规避。
对风险所采取的措施应考虑尽可能的消除风险,在无法消除或暂无有效的方法或者采取消除风险的方法的成本高出风险存在时造成损失时,再选择采取降低风险或者风险接受的风险应对方法。
5.5.1 风险接受
是指企业本身承担风险造成的损失,风险接受一般适用于那些造成损失较小、重复性较高的风险,当出现以下情况时可采取接受风险的方法:
1)采取风险规避措施所带来的成本远超出潜在风险所造成的损失时;
2)造成的损失较小且重复性较高的风险;
3)既无有效的风险降低的措施,又无有效的规避风险的方法时;
4)按本文件要求的风险评估准则中计算得出风险系数低于5的低风险。
5.5.2 风险降低
风险降低即采取措施降低潜在风险所带来的损坏或损失,风险评估实施单位应制定的详细的风险降低措施降低风险,当出现以下情况时,可采取风险降低方法:
1)采取风险规避措施所带来的成本远超出潜在风险所造成的损失时;
2)无法消除风险或暂无有效的规避措施规避风险时;
3)按本文件要求的风险评估准则中计算得出风险系数为5至15之间的一般性风险。
5.5.3 风险规避
风险规避是指通过有计划的变更来消除风险或风险发生的条件,保护目标免受风险的影响。风险规避并不意味着完全消除风险,我们所要规避的是风险可能给我们造成的损失。一是要降低损失发生的几率,这主要是采取事先控制措施;二是要降低损失程度,这主要包括事先控制、事后补救两个方面。
5.5.4 风险管理的监督与改进
风险识别和评估活动是用于识别风险并综合考虑对风险应采取的有效措施,当风险系数过高时应采取风险进行规避或者降低风险,以减少风险所带来的危害或损失。风险评估实施部门应制定详细有效的措施并予以执行,在制定措施时,应考虑以下方面的内容: